Chantal Baudet était invitée à présenter les actions mises en oeuvre par son ARS pour veiller à la sécurité numérique des établissements sanitaires et médico-sociaux dont elle assure la tutelle.

Depuis 2013, l’ARS a "fait le choix de mettre des fonds sur la sécurité des systèmes d’information [SI] ", notamment via le programme Hôpital numérique et le fonds d’intervention régional (FIR), a-t-elle expliqué.

L’agence a notamment organisé des réunions d’information pour sensibiliser les personnels des établissements de santé. Deux sessions de formation d’une durée de deux à trois jours ont été mises en place en 2017 à destination d’une quarantaine d’établissements.

"Quand je parle sécurité SI, je vois des directeurs de système d’information [DSI] arriver, mais on a de grandes difficultés à capter l’attention des directions générales qui ne viennent pas aux réunions", a rapporté Chantal Baudet, soulignant que ce déficit de sensibilisation explique que le secteur "reste fragile par rapport à la sécurité informatique des SI et du numérique en général".

Pour y remédier, la directrice adjointe de l’efficience de l’offre de l’ARS Pays-de-la-Loire a pointé la "nécessité de dégager des moyens humains" pour permettre "une acculturation progressive" des personnels.

Elle a relevé que le message est plus facile à diffuser lorsque "les pairs parlent à leurs pairs". "Trouvez une infirmière, un responsable de la qualité, des médecins que le sujet intéresse, ça marche beaucoup mieux en passant par eux", a-t-elle conseillé.

"Je ne crois pas à l’injonction. Pour arriver à une acculturation, il faut avoir des plans d’action progressifs, construits sur plusieurs années pour y amener progressivement les équipes, au fur et à mesure du temps", a-t-elle déclaré.

L’utilisation du FIR a permis à l’ARS de financer l’emploi d’une référente régionale de la sécurité des systèmes d’information au sein du groupement de coopération sanitaire (GCS) e-santé Pays-de-la-Loire.

Auriane Lemesle, qui occupe actuellement ce poste, est intervenue lors du colloque pour présenter ses travaux. Elle a expliqué assurer "une veille technologique et réglementaire" pour informer les établissements de la région des dernières actualités touchant la sécurité numérique.

Elle propose également aux établissements un "outillage" comprenant des modèles de documents à utiliser lors des processus de certification des structures, des procédures standard de sécurité ou encore des "affiches de sensibilisation" à placer dans les établissements "pour favoriser le dialogue entre l’informatique et le monde soignant".

Elle sert aussi de "relais" pour transmettre les alertes émises par le fonctionnaire de la sécurité des systèmes d’information (FSSI) des ministères chargés des affaires sociales, et par l’agence nationale de la sécurité des systèmes d’information (Anssi).

Auriane Lemesle a fait état d’une "forte augmentation" de la cybermenace, avec des attaques "de plus en plus ciblées, de par leur diversité et leur sophistication". "Il faut prendre en compte que l’informatique dans les hôpitaux ce n’est plus que les ordinateurs, il y en a partout: dans les appareils biomédicaux, dans les éléments liés au bâtiment comme la gestion des alarmes ou des flux d’air", a-t-elle averti.

En 2016, 1.341 signalements d’incidents informatiques ont été transmis par les établissements de santé français, sur la base du volontariat, au FSSI, rappelle-t-on.

Parmi les difficultés rencontrées sur le terrain, Chantal Baudet a également cité la compréhension des "nombreux" textes réglementaires à mettre en oeuvre, qu’elle a qualifiés d’"imbuvables à lire".

Depuis le 1er octobre dernier, la loi prévoit un signalement "sans délai" des "incidents graves de sécurité des SI" à l’ARS, qui fait suivre à son tour aux "autorités compétentes de l’Etat". Une instruction mise en ligne le 12 octobre a précisé le rôle des ARS dans ce nouveau dispositif, rappelle-t-on.

Chantal Baudet a fait part des difficultés de l’ARS Pays-de-la-Loire à juger ce qui constitue un incident informatique "grave" et ce qui ne l’est pas, car selon elle, "tous les incidents ont un risque de conséquence sur la prise en charge des patients".

Face à l’indécision, "mieux vaut déclarer que ne pas déclarer", a-t-elle ajouté, estimant que la remontée des incidents va permettre de "comprendre les actes à mettre en place au sein d’un établissement".

Elle a toutefois regretté qu’il subsiste "deux façons de déclarer les incidents" selon que l’on est un établissement du champ sanitaire, ou du médico-social. "Une seule méthode de déclaration serait plus facilitante pour l’ensemble de la communauté", a-t-elle noté.